Db2审计功能学习.doc

DB2 UDB 审计功能是 DBA 工具箱中一件重要的安全性工具。审计发生在实例级，这意味着一旦启动审计功能，它就会审计那个实例中所有数据库的活动。审计功能必须单独启动和停止。图 1. DB2 UDB 架构中的 DB2 审计功能启动审计功能后，生成的审计记录被写入到一个缓冲区，然后刷新到磁盘上的一个审计文件中。审计结束后，便可以将审计文件从它本地的原始格式转换成一种易读的文本文件。还可以将审计记录装载到 DB2 表中，以便于使用 SQL 查询数据和生成定制的报告。1 db2audit 命令使用和配置db2audit.cfg 文件存储审计功能的配置信息。配置文件的存放位置为：/db2inst1/sqllib/security*这个文件是2进制的，只能使用 db2audit 命令行语法对它进行修改。*db2audit.log 文件在默认情况下并不存在，只有在生成了审计记录或者刷新了审计缓冲区的情况下，该文件才会出现审计功能的配置主要有两个方面。一方面是设置缓冲区的大小，另一方面是配置所审计的事件的类型。(1) 审计缓冲区配置 缓冲区的大小是由 AUDIT_BUF_SZ 这个数据库管理器配置参数决定的。该参数指定为审计缓冲分配的 4K 大小的页面的数量。 如果将缓冲区大小设置为 0，那么将发生同步写日志操作，而不使用审计缓冲区。在这种配置中，生成审计记录的事件必须等到记录被写到磁盘上，才能返回它的状态。由于对于每条记录都要进行这样的等待，DB2 的性能将有所降低。如果缓冲区的大小大于 0，那么审计记录是异步写的。也就是说，审计记录在被刷新到磁盘之前，是先存放在审计缓冲区中的。为了防止缓冲时间过长，DB2 定时强制地写审计记录。还可以使用 db2audit flush 命令手动地刷新审计缓冲区。在异步写日志的情况下，生成审计记录的事件无需等到审计记录被写到磁盘便可返回它的状态。 update dbm cfg using audit_buf_sz 10db2stopdb2start表 1. 可以审计的数据库事件类型事件类型描述审计(AUDIT)当审计设置被更改或者审计日志被访问时生成记录权限检查(CHECKING)在对访问或操作 DB2 对象或函数的尝试进行权限检查时生成记录对象维护(OBJMAINT)在创建或删除数据对象时生成记录安全性维护(SECMAINT)在授予或者撤销对象或数据库特权或 DBADM 权限时生成记录当数据库管理器的安全性配置参数 SYSADM_GROUP、SYSCTRL_GROUP 或 SYSMAINT_GROUP 被修改时也会生成记录系统管理(SYSADMIN)当执行需要 SYSADM、SYSMAINT 或 SYSCTRL 权限的操作时生成记录用户验证(VALIDATE)当认证用户或检索系统安全性信息时生成记录操作上下文(CONTEXT)当执行数据库操作时，生成记录以便显示操作上下文这样分类可以更好地解释审计记录。当与日志的事件相关符字段一起使用时，可以从一组事件跟踪回到一个数据库操作，该数据库操作可以提供分析审计结果所需的上下文。db2audit 命令语法-db2audit-+-configure-+-reset-+-+- -scope-+-all-+- -status-+-both-+- | .-,-. | +-success-+ | V | | -failure- -+-audit-+-+- +-checking-+ +-objmaint-+ +-secmaint-+ +-sysadmin-+ +-validate-+ -context- -+-+-| -errortype-+-audit-+- -normal- Audit Extraction: |-+-file-output-file-+- -delasc-+-+- -delimiter-load-delimiter- -+-+- | .-,-. | | V | | -category-+-audit-+-+- +-checking-+ +-objmaint-+ +-secmaint-+ +-sysadmin-+ +-validate-+ -context- -+-+-+-+-| -database-database-name- -status-+-success-+- -failure-例子：1.将审计功能配置成只记录失败的 AUDIT 和 VALIDATE 事件，并使用 NORMAL 错误处理选项。为此，发出以下 db2audit 命令：db2audit configure scope audit, validate status failure errortype normal 2.将审计功能配置成监视所有事件类型，同时记录成功的和失败的尝试，并且使用 AUDIT 错误处理选项。db2audit configure scope all status both errortype audit 3.查看当前审计配置设置和状态，请使用以下 db2audit 命令db2audit describe 4.还原审计功能初始配置db2audit configure reset如果初始的审计配置文件已丢失或被毁坏，则该命令还创建一个新的审计配置文件。 5.启动/停止审计功能db2audit start/stop 二.导出审计记录db2audit.log 文件中的审计记录是以一种原始格式存储的。要导出审计日志，先要进行数据库的归档，使用命令： Db2audit archive database sample to /home/audit(1)db2audit.log 文件提取审计记录之前，发出以下命令将缓冲区中的所有审计记录刷新到磁盘：db2audit flush(2)将db2audit.log 文件中将记录提取到一个文本文件，发出以下 db2audit 命令：db2audit extract file c:tempaudit_01_22_2006.aud from files /home/*其中 c:tempaudit_01_22_2006.aud 是所需的输出文件的文件名的路径。如果不指定一个文件名，那么这些记录将被写入到 $INSTHOME/sqllib 的 security 子目录中的 db2audit.out 文件中，其中 INSTHOME 是实例的主目录。如果不指定目录，则输出文件被写入到当前的工作目录中。例如：(1)假设只需要将 AUDIT 事件类型的记录提取到以 ! 作为字段分界符的定界 ASCII 文件中，并且只需要数据库 SAMPLE 中的记录，并且只对 FAILURE 状态的事件感兴趣。那么可以发出 db2audit 命令db2audit extract delasc delimiter ! category audit database sample status failure (2)如果只将 SAMPLE 数据库的 SYSADMIN 审计事件提取到一个名为 audit.db2 的标准文本文件中，包括状态为 SUCCESS 和 FAILURE 的事件，可发出以下 db2audit 命令：db2audit extract file audit.db2 category sysadmin database sample 三.审计记录的格式使用 FILE 选项提取的审计记录的片段timestamp=2006-02-06-11.54.52.443000;category=AUDIT;audit event=START; event correlator=0;event status=0; userid=tedwas;authid=TEDWAS;timestamp=2006-02-06-11.55.14.664000;category=AUDIT;audit event=CONFIGURE; event correlator=0;event status=0; userid=tedwas;authid=TEDWAS;timestamp=2006-02-06-11.55.19.371000;category=AUDIT;audit event=CONFIGURE; event correlator=0;event status=0; userid=tedwas;authid=TEDWAS;timestamp=2006-02-06-11.55.30.718000;category=AUDIT;audit event=FLUSH; event correlator=0;event status=0; userid=tedwas;authid=TEDWAS;使用 DELASC 选项提取的审计记录的片段;2006-02-06-11.54.52.443000;,;AUDIT;,;START;,0,0,;tedwas;,;TEDWAS;2006-02-06-11.55.14.664000;,;AUDIT;,;CONFIGURE;,0,0,;tedwas;,;TEDWAS;2006-02-06-11.55.19.371000;,;AUDIT;,;CONFIGURE;,0,0,;tedwas;,;TEDWAS;2006-02-06-11.55.30.